luật an ninh mạng lưu ý với doanh nghiệp - viod.vn · quyền của bộ thông tin và...
TRANSCRIPT
Luật An ninh mạng Những lưu ý với doanh nghiệp
Viện Nghiên Cứu Chính sách và Phát triển Truyền thông (IPS)
Hà Nội, ngày 16 tháng 8, 2018
Nội dung trình bày
6 vấn đề chính và 6 nhóm doanh nghiệp
Phần 1
Tiến trình dự thảo Nghị định hướng dẫn – Doanh nghiệp cần làm gì?
Phần 2
Phần 3
Phần 4
Những điểm nổi bật của Luật
Cơ quan thực thi Luật An ninh mạng
– những xu hướng và lưu ý
Phần 1.
Những điểm nổi bật của Luật
Dịch chuyển thẩm quyền
Những vấn đề cũ và
„cơ quan quản lý nhà nước‟
mới
2 lĩnh vực chính
Cyber Attack Content / Data
Thông tin „xấu, độc‟ An ninh thông tin
Lực lượng chuyên trách an ninh mạng
Văn bản hướng dẫn
• 2 Nghị định
• 1 Quyết định
Phần 2.
6 vấn đề chính và 6 nhóm doanh nghiệp cần lưu ý
6 vấn đề chính
Hệ thống thông tin quan
trọng về an ninh quốc gia
Đánh giá điều kiện ANM;
Thẩm tra, kiểm tra ANM
Thông tin xấu, độc –
chặn, xóa, gỡ, cắt dịch vụ Trách nhiệm với dữ
liệu người dùng
Xác thực tài khoản
người dùng
Phương án bảo vệ ANM;
báo cáo ANM, cảnh báo
sự cố ANM
6 nhóm Doanh nghiệp
Khai thác dữ liệu (Google,
Facebook, Zalo) Thương mại điện tử Phần mềm ứng dụng/startup
Dịch vụ dữ liệu (Điện
toán đám mây) Tài chính ngân hàng Kinh doanh dịch vụ, giải
pháp an ninh mạng
Vấn đề dữ liệu người dùng
Điều 26, khoản 3:
Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn
thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt
Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin
cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do
người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt
Nam trong thời gian theo quy định của Chính phủ.
Tài khoản số- Khoản 2, Điều 26
Điều 26:
a) Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài
khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách
bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ
điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;
Vấn đề “Nội dung” thông tin: thông tin „xấu, độc‟
1. Thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà
nước Cộng hòa xã hội chủ nghĩa Việt Nam bao gồm:
a) Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân;
b) Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận
giữa các dân tộc, tôn giáo và nhân dân các nước;
c) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh
nhân, anh hùng dân tộc.
Vấn đề “Nội dung” thông tin: thông tin „xấu, độc‟
2. Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá
rối an ninh, gây rối trật tự công cộng bao gồm:
a) Kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ
trang hoặc dùng bạo lực nhằm chống chính quyền nhân dân;
b) Kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối,
chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây
mất ổn định về an ninh, trật tự.
Vấn đề “Nội dung” thông tin: thông tin „xấu, độc‟
3. Thông tin trên không gian mạng có nội dung làm nhục, vu khống bao
gồm:
a) Xúc phạm nghiêm trọng danh dự, uy tín, nhân phẩm của người khác;
b) Thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm hoặc
gây thiệt hại đến quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân
khác.
Vấn đề “Nội dung” thông tin: thông tin „xấu, độc‟
4. Thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý
kinh tế bao gồm:
a) Thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín
phiếu, công trái, séc và các loại giấy tờ có giá khác;
b) Thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, thương
mại điện tử, thanh toán điện tử, kinh doanh tiền tệ, huy động vốn, kinh
doanh đa cấp, chứng khoán.
Vấn đề “Nội dung” thông tin: thông tin „xấu, độc‟
5. Thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật gây
hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội,
gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành
công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá
nhân khác.
Trách nhiệm Doanh nghiệp với thông tin „xấu, độc‟ Điều 26
b) Ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin trên dịch vụ hoặc hệ thống thông tin
do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của
lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm
quyền của Bộ Thông tin và Truyền thông và lưu nhật ký hệ thống để phục vụ điều tra, xử lý
hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ;
c) Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các
dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng khi có yêu cầu của lực
lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền
của Bộ Thông tin và Truyền thông.
Hệ thống hạ tầng thông tin Điều 10. Hệ thống thông tin quan trọng về an ninh quốc gia
1. Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, xâm nhập,
chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm
phạm nghiêm trọng an ninh mạng.
2. Hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:
a) Hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu;
b) Hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước;
c) Hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng;
d) Hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi
trường sinh thái;
đ) Hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên
quan đến an ninh quốc gia;
e) Hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở trung ương;
g) Hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao
thông vận tải, tài nguyên và môi trường, hóa chất, y tế, văn hóa, báo chí;
h) Hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia,
mục tiêu quan trọng về an ninh quốc gia.
Thẩm quyền của lực lượng An ninh mạng với hạ tầng thông tin – Hệ thống thông tin quan trọng về an ninh quốc gia
a) Thẩm định an ninh mạng;
b) Đánh giá điều kiện an ninh mạng;
c) Kiểm tra an ninh mạng;
d) Giám sát an ninh mạng;
Đối tượng kiểm tra gồm những gì?
Khoản 3, Điều 13
a) Hệ thống phần cứng, phần mềm, thiết bị số được sử dụng trong hệ thống thông tin;
b) Quy định, biện pháp bảo vệ an ninh mạng;
c) Thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin;
d) Phương án ứng phó, khắc phục sự cố an ninh mạng của chủ quản hệ thống thông tin;
đ) Biện pháp bảo vệ bí mật nhà nước và phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật;
e) Nhân lực bảo vệ an ninh mạng.
Doanh nghiệp không thuộc „hệ thống thông tin quan trọng về an ninh quốc gia‟ thì sao ?
Điều 24. Kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ
chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc
gia
1. Kiểm tra an ninh mạng khi:
a) Khi có hành vi vi phạm pháp luật về an ninh mạng xâm phạm an ninh quốc gia
hoặc gây tổn hại nghiêm trọng trật tự, an toàn xã hội;
b) Khi có đề nghị của chủ quản hệ thống thông tin;
Một số vấn đề tuân thủ khác
• Phương án bảo vệ an ninh mạng(Điều 41) – (Doanh nghiệp cung cấp dịch vụ trên không gian mạng)
• Cảnh báo đến người dùng nguy cơ và rủi ro an ninh mạng (Điều 41)
• Bảo vệ trẻ em trên không gian mạng: các nội dung ‟xấu‟ đối với trẻ em
• Văn phòng đại diện với doanh nghiệp nước ngoài (Điều 26)
Thực thi luật ANM – thẩm quyền quản lý nhà nước là ai?
• Sáp nhập Cục An ninh mạng và Cục Cảnh sát phòng chống tội
phạm công nghệ cao;
• Lực lượng chuyên trách An ninh mạng;
• Cơ quan quản lý ???: „chủ quản‟ + Lực lượng chuyên trách an ninh
mạng:
+ Bộ Thông tin Truyền thông;
+ Bộ „chủ quản‟
Phần 3.
Tiến trình dự thảo Nghị định hướng dẫn – doanh nghiệp cần làm gì?
Văn bản hướng dẫn thi hành – doanh nghiệp cần làm gì?
• 2 Nghị định: quy định cụ thể hoá nội dung + thủ tục
• 1 Quyết định: Danh mục hệ thống thông tin quan trọng về an ninh quốc gia
• Các Vấn đề cần tiếp tục hướng dẫn:
+ Dữ liệu người dùng nào cần lưu ở Việt Nam – liên quan đến chi phí kinh doanh của Doanh nghiệp?
+ ”Hệ thống thông tin‟ cụ thể nào nằm trong hệ thống thông tin quan trọng về an ninh quốc gia?
+ Xác thực ‟tài khoản số‟ – những loại tài khoản số trong lĩnh vực nào?
+ Văn phòng đại diện của doanh nghiệp nước ngoài?
Tiến trình soạn thảo và góp ý cho dự thảo nghị định
• Cơ quan soạn thảo: Bộ Công An (Cục An ninh mạng)
• Dự kiến trình Chính phủ: tháng 10
• Thời hạn góp ý với Nghị định
• Các kênh góp ý
• Các kênh cập nhật thông tin
Phần 4. Cơ quan thực thi Luật An ninh mạng – những xu hướng và lưu ý
Xu hướng dài hạn về ANM – Bảo vệ dữ liệu người dùng
• Tăng cường quyền riêng tư và khả năng kiểm soát dữ liệu của người
dùng;
• Xu hướng siết/tăng cường pháp lý với bảo vệ dữ liệu và áp đặt trách
nhiệm nghiêm ngặt với Doanh nghiệp
• GDPR
• Trách nhiệm doanh nghiệp: chủ động bảo vệ người dùng/khách hàng
Các quy định phổ biến về bảo vệ dữ liệu
Brazil Trung Quốc Liên minh Châu Âu
Ấn Độ Indonesia Hàn Quốc Việt Nam
Địa phương hóa dữ liệu
Không Có Không Có một phần Có Có một phần Có
Đồng thuận thu thập dữ liệu
Có Có Có Có Có Có Không
Đồng thuận trao đổi
dữ liệu cho bên thứ ba
Có Có
Không Có Không Có Không
Quyền xem xét Không Không Có Có Có Có Không
Quyền lãng quên Có Có Có Không Không Có Có
Cảnh báo vi phạm Không Có Có Không Có Có Không
Đánh giá tác động Không Có Có Không Không Không Không
Cán bộ bảo mật dữ
liệu Không Không Có Không Không Có Không
Xử phạt vi phạm Có Có Có Có Có Có Không
Yêu cầu truy cập của Chính phủ
Có Không Không Có Không Không Có
Yêu cầu lưu giữ dữ liệu
Có Không Không Có Không Không Có
(Nguồn: European Center for International Political Economy, 2014)
Tóm tắt – Những điều khoản cần lưu ý:
• Điều 5 – biện pháp bảo đảm an ninh mạng, gắn với thẩm quyền của
lực lượng chuyên trách an ninh mạng và trách nhiệm phát sinh của
doanh nghiệp;
• Điều 10 – về hệ thống thông tin quan trọng về an ninh quốc gia
• Điều 16 – về „thông tin xấu độc‟
• Điều 26 – trách nhiệm trực tiếp của doanh nghiệp;
• Điều 41 – một số trách nhiệm tuân thủ khác
XIN CẢM ƠN!